Safari 3.1.2 for Windows、“Carpet Bomb”に対処 41
ストーリー by Acanthopanax
Mac版はありません 部門より
Mac版はありません 部門より
Appleが19日(米現地時間)、Safari 3.1.2 for Windowsをリリースした。Windows XP/Vistaに対応。4件の脆弱性が修正されるが、このうちの1件は、“Carpet Bomb”問題(この件に関するMicrosoftのセキュリティアドバイザリ)に対処するものである。なお、3.1.2は現在のところWindows版のみで、Mac版はない。
個人的には (スコア:1)
この問題を知らずにsafari使ってて、
デスクトップにfirefoxやらThunderbirdやらのアイコンを偽装したブツを間欠投下されてたら、
いつか俺は踏む自信が(違
”何を突っ込まれたら困るか、落とし穴に落ちるかは人それぞれ”ですが、
”そもそも突っ込むことを許しているのは万人への脅威”。
では、もう問題ないですな (スコア:2)
ダウンロード時に、確認用のダイアログを表示するようになったそうです。
さらに、デフォルト時のファイルの保存先を、デスクトップからダウンロードフォルダに変更したそうです。
情報源:
http://internet.watch.impress.co.jp/cda/news/2008/06/20/20014.html [impress.co.jp]
犯罪者を裁きさえすれば問題は解決するのか、犯罪を生んだ土壌の改善や再犯対策を考えるのか (スコア:1)
・・・・・・ではいかんせんスラドっぽくな(違
何で今回のような問題が起き、Appleは強硬な態度に出たのか。
他の箇所の実装はどうなのか。言われたら直すだけ?
などはツッコミどころとして美味し(違
#なんだろう、この”あれ?これっていつもの仕事の会話じゃん”感#
Re: (スコア:0)
本当にトロイの木馬だな…
ユーザ視点から見れば当然の結果 (スコア:0, フレームのもと)
それは明らかにまずいですよね。
Safariを使ったときに発生するわけだし、何でこんなにプライドを高くして「脆弱性ではないが対処してやったぞ」
みたいなふうなのかな。
Re:ユーザ視点から見れば当然の結果 (スコア:1, すばらしい洞察)
Re: (スコア:0)
別ACです。
それはそれ、これはこれで考えるべきでしょう。Safariがさくっとデスクトップにdllを外から持ってきて置かなければ問題は起こらないのも事実です。であるなら、Safari側でも問題に対応をするのは当然であろうと思うのです。そのOSにはその作法があるのは当然なのですから、Safariもそれにしたがってコーディングされるべきでしょう。
Re: (スコア:0)
でもそもそもそんなことをAppleは考える必要も無いというか、積極的に壊していく立場で。
Windows上にあえてMacのと同じレンダリングエンジン、Mac版に近づけたUI、同じ様な挙動を取らせるからこそSafariは受ける。実際に使用する自分のところのユーザーにとってはむしろそっちのほうが良いでしょ。
Apple的には突っぱねて当然というか。
さすがApple! おれたちにできない事を平然とやってのけるッ そこにシビれる! あこがれるゥ!
#だと思ったんだけど意外とあっさり引いたね。
Re: (スコア:0)
>でもそもそもそんなことをAppleは考える必要も無いというか、積極的に壊していく立場で。
>Windows上にあえてMacのと同じレンダリングエンジン、Mac版に近づけたUI、同じ様な挙動を取らせるからこそSafariは受ける。
>実際に使用する自分のところのユーザーにとってはむしろそっちのほうが良いでしょ。
それとこれとは話が別だろう。
今回の問題はMacに挙動が近づくわけでもないし
Macに慣れたユーザーにメリットがあるわけでもない。
誰にもプラスにならないのにマイナスは確実にある。
Re: (スコア:0)
Re: (スコア:0)
話ですよね。
これはまだファイルがダウンロードされるだけだから良いけど、IE
なんかでは悪意のあるリンクをクリックしてもユーザーに害のある
動作をすることは全く無いんでしたっけ?
少なくとも、Outlookで.exeの添付ファイルをダブルクリックした
らもう最後だと思いますが、そういうのは特にまずいとは言わない
んですかね?
Re:ユーザ視点から見れば当然の結果 (スコア:2, すばらしい洞察)
重要なのはその挙動がユーザーが意図通りの結果であったか否かが問われているだけでしょう。
そのリンクがダウンロードのリンクであればこのような騒ぎになってません。
少なくとも今回の件に関する「ダウンロードを行う」という動作の前にはユーザーに確認を求めるというワンクッションが存在するのが当たり前という文化がWindows(IE)には存在します。
ただし、一部の種類のファイルを除けば意図的に無効にする事も可能で、実際にWindowsMediaのショートカットやPDF、.torrent等はそのような挙動になりえます。
その場合はそのように設定したアプリケーション側でどのようなファイルが来てもユーザーに害を及ぼさない事を要求されますが。
それをIEにも脆弱性がある/あったからと責任転嫁するのは如何かと思いますが。
それはそれ、これはこれでしょう?
そして、セキュリティホールによって実行される問題がIEに発見された場合はその件で今まで通り責められるでしょう。
>少なくとも、Outlookで.exeの添付ファイルをダブルクリックしたらもう最後だと思いますが、そういうのは特にまずいとは言わないんですかね?
ユーザーが意識して実行する指示を出した時点で明確にその例えは誤りです。
それに現在のバージョンでは意図し明示的に安全策をOFFにしない限りそもそもダブルクリックして開くことは出来ません。 [atmarkit.co.jp]
古いセキュリティパッチサポートが既に切れているOutlookを未だに使用し続けてるなら話は別ですが。
Re: (スコア:0)
> らもう最後だと思いますが
確認ダイアログがでるので最後ではありません。
Re: (スコア:0)
案の定というか (スコア:0, フレームのもと)
普通のMacユーザが困るから黙りなさい。
http://www.itmedia.co.jp/news/articles/0805/21/news032.html [itmedia.co.jp]
>ユーザーの同意を求めることなくリソースがダウンロードされ
>ユーザーの許可を求めるよう、設定を変更することもできない
のが問題。不正iframeを仕込んだ悪質サイトとの搦め手で
ファイルがバカスカダウンロードされる。
Re: (スコア:0, 荒らし)
問題だとして、そういうソフトは世の中に相当たくさんあると思うん
ですが、とりあえずメールの添付ファイルをダウンロードさせないた
めにはどうすれば良いかとか、何か考えがありますか?
Re: (スコア:0)
・メールをダウンロードしてこない。
・メールじゃない別のなにかしかとってこない。
・メールがそもそも使えない。
・インターネットにつながらない。
どれがいい?
Re: (スコア:0)
とりあえず、同意を求めるダイアログを表示してはどうでしょうか?
Re:案の定というか (スコア:1, すばらしい洞察)
どうやって判断すればいいんですか?
そんなバカなアイディアはMS-Officeの「このファイル
にはマクロが含まれています」だとか、XPの「このコン
ピュータは危険にさらされています」のメッセージと同
様、何の効果も持たないものですよ。
Re: (スコア:0)
Re: (スコア:0)
# 町のティッシュとかチラシとか号外みたいなものを強制的に受け取らせる状況な訳で。
## そうか、実はデスクトップに広告のPDFやリンクを強制的に貼り付けるという新しいビジネスモデルの壮大な実験だったんだよ!
## な、なんだってー(AA略
Re: (スコア:0, フレームのもと)
本当にそう思うなら、具体的にそういうソフトの例を挙げてごらんよ。Safariで問題だったのは、ユーザーが特になんの操作をしなくとも、まったく意識しない間に何の警告も無くファイルをデスクトップにダウンロードされるという問題なんだけどな。
こんなばかげた動作をするソフトが、ほかに「相当たくさん」あるの? 私はひとつも思い浮かばなかったが
Re: (スコア:0, すばらしい洞察)
>間に何の警告も無くファイルをデスクトップにダウンロードさ
>れる
妄想すごすぎ。
少しは正しい情報を身につけることも考えた方がいいと思います。
そんなことができるソフトなんて、バッファオーバーフローの脆
弱性を散々悪用されているWindows、IE、OEやMS-Officeしか思
い浮かびません。
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
ああ、DQNを客に引き受けてるAppleは偉いなあ、って。
Re: (スコア:0)
ここに挙げられたソフトは「脆弱性」としてパッチが出るのに対し、同じことができたSafariの場合は、(いやいやながら)修正しても、アップルは決して「脆弱性」とは認めていないころが違いですかね。
前者と後者では、後者の方が厄介とは思うけどね。わたしは
#こういうソフトはやっぱ「トロイの木馬」に分類するのが適切なような
Re: (スコア:0)
ウィルスにそういう機能を盛り込めばいいだけだと思うんだが、わざ
わざ自己感染応力も無いウェブサイトにそんな仕掛けを仕込む必要っ
てあるの?
Re: (スコア:0)
ナニが楽しくてそうしているのかまったくわからんよ。ほんと。
Re: (スコア:0, フレームのもと)
デスクトップを勝手に埋め尽くすのは十分に実害アリでしょう。
ユーザーがコントロール出来ない挙動が存在するのは非常に良くない仕様だと思いますが。
Windowsユーザーはその層の広さから自分で全て制御できるのが普通と思う層も居ます。
イルカとかオートコンプリートとかOFFにするって話が出る事から解るように余計なお世話をするソフトや機能は非常に嫌うのですよ。
対してAppleのソフトウェアはユーザーの利便優先で自動化されている場所が多くあります。
現状のWindowsの文化はそういう物を嫌う層もまた多いのですよ。
そういった部分が過剰に
Re: (スコア:0)
代わりに、数千のダウンロードしますかダイアログ、だったら問題が無いという考えなのかな?
>もしもそれが児童ポルノのように政治・社会的に許されない物だったら?
わかってないな。
ダウンロードされる条件は「未知のcontent-typeが指定されたファイル」なの。
つまり、そのマシンでは開けないファイル。
「開けようが開けまいが問題だ」というのであれば、ブラウザキャッシュだって問題だよね。
何が違うのか?デスクトップにあると問題なのか? 開けないのに?
あと、開けないファイルだから、
>フォルダを開くだけでサムネイル作成時にFinderの権限で任意のコードが実行可能になる可能性があります。
これも無いの。
Re: (スコア:0)
違法な画像(?)を持っていても問題がないということ?
Re: (スコア:0)
しかも、元ネタのストーリー [srad.jp]もちゃんと読んでねぇだろ。
# 横レスの横レスだけど、あまりにひどかったのでついツッコンじゃった。
Re: (スコア:0)
普通のjpegファイルをapplication/x-hogehogeというContent-Typeで受け取った場合、ダウンロード後もjpegファイルとして扱わないの?
Re: (スコア:0)
はい。「実際にユーザーの管理領域が汚染される」のと「ダイアログが表示される」だったら、ダイアログが表示されるほうがマシです。
その時点でアプリケーション自体を終了や再起動という手法も取れます。
実際に保存してしまったらそれはユーザーの管理する領域に未知のファイルが作成されるわけです。
ダウンロードフォルダという専用領域ならユーザーも注意する事が可能でしょうが、マイ ドキュメントのルートやデスクトップといったユーザーが日常使う領域に未知のファイルが紛れ込むのはハイリスクで
Re: (スコア:0)
>ブラクラ踏んだだけでデスクトップ一面が数千のゴミファイルで埋め尽くされ
>たらどう思いになります?
OSXではネットからダウンロードした実行ファイルを起動する時は、起動前に
警告ダイアログが出るようになってます。
ここに来ている警告ダイアログ至上主義の人達にとってはそれで一安心なんで
しょうが、そんなことよりも訳の分からない実行ファイルを起動するなという
当たり前のことをしっかり守るのが大事ですね。
Re:お隣との違い (スコア:1)
見落としや勘違い、etc、etc。
正直、一発即アウトは勘弁してほしい。
#剣振りながら歩いてたのにそのまま進んで罠踏んでモンスターハウスですよ。勘弁してください#
ダイアログは一発即アウトを防止するための直感的かつ有効な手段ですね。